如何创建密钥资源(控制台) - Amazon IoT Greengrass
先决条件创建Secrets Manager 钥将密钥资源添加到组创建 Lambda 函数部署软件包创建 Lambda 函数将 函数添加到组将密钥资源附加到函数将订阅添加到组部署组测试 Lambda 函数另请参阅
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon IoT Greengrass Version 12023 年 6 月 30 日进入延长寿命阶段。有关更多信息,请参阅Amazon IoT Greengrass V1维护政策。在此日期之后,Amazon IoT Greengrass V1不会发布提供功能、增强功能、错误修复或安全补丁的更新。在上运行的设备Amazon IoT Greengrass V1不会受到干扰,将继续运行并连接到云端。我们强烈建议你迁移到Amazon IoT Greengrass Version 2,它补充说重要的新功能支持其他平台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何创建密钥资源(控制台)

此功能适用于以下项目Amazon IoT Greengrass核心 v1.7 及更高版本。

本教程介绍如何使用 Amazon Web Services Management Console将密钥资源添加到 Greengrass 组。密钥资源是对 Amazon Secrets Manager 中密钥的引用。有关更多信息,请参阅 将密钥部署到 Amazon IoT Greengrass 核心

在存储库的Amazon IoT Greengrass核心设备、连接器和 Lambda 函数可以使用密钥资源对服务和应用程序进行身份验证,而无需对密码、令牌或其他凭证进行硬编码。

在本教程中,您需要先在 Amazon Secrets Manager 控制台中创建一个密钥。然后,在Amazon IoT Greengrass控制台,您将从组的 Greengrass 组添加一个密钥资源资源页. 此密钥资源引用Secrets Manager 密钥。稍后,将此密钥资源附加到 Lambda 函数,这将允许该函数获取本地密钥的值。

注意

或者,控制台允许您在配置连接器或 Lambda 函数时创建密钥和密钥资源。您可通过连接器的配置参数页面或 Lambda 函数的资源页.

只有包含密钥参数的连接器才可以访问密钥。有关介绍 Twilio Notifications 如何使用本地存储的身份验证令牌的教程,请参阅Greengrass 连接器入门(控制台).

本教程包含以下概括步骤:

  1. 创建Secrets Manager 钥

  2. 将密钥资源添加到组

  3. 创建 Lambda 函数部署软件包

  4. 创建 Lambda 函数

  5. 将 函数添加到组

  6. 将密钥资源附加到函数

  7. 将订阅添加到组

  8. 部署组

  9. 测试 Lambda 函数

完成本教程大约需要 20 分钟。

先决条件

要完成此教程,需要:

  • Greengrass 组和 Greengrass Core(v1.7 或更高版本)。要了解如何创建 Greengrass 组和核心,请参阅 Amazon IoT Greengrass 入门。“入门”教程还包含用于安装 Amazon IoT Greengrass Core 软件的步骤。

  • Amazon IoT Greengrass 必须配置为支持本地密钥。有关更多信息,请参阅密钥要求

    注意

    此要求包括允许访问Secrets Manager 密钥。如果您使用的是默认 Greengrass 服务角色,Greengrass 有权获取密钥的名称以greengass-.

  • 要获取本地密钥的值,用户定义的 Lambda 函数必须使用Amazon IoT Greengrass核心 SDK v1.3.0 或更高版本。

第 1 步:创建Secrets Manager 钥

在本步骤中,使用 Amazon Secrets Manager 控制台创建密钥。

  1. 登录到 Amazon Secrets Manager 控制台

    注意

    有关此过程的更多信息,请参阅第 1 步:在中创建并存储密钥Amazon Secrets Manager中的Amazon Secrets Manager用户指南.

  2. 选择 Store a new secret (存储新密钥)

  3. UNDER选择密钥类型,选择其他密钥类型.

  4. Specify the key-value pairs to be stored for this secret (指定要为此密钥存储的键值对) 下:

    • 对于 Key(键),输入 test

    • 对于 Value(值),输入 abcdefghi

  5. 保持aws为加密密钥选中,然后选择下一步.

    注意

    您无需通过付费Amazon KMS如果你使用默认值AmazonSecrets Manager 在您的账户中创建的托管密钥。

  6. 对于密钥名称,输入 greengrass-TestSecret,然后选择下一步

    注意

    默认情况下,Greengrass 服务角色允许Amazon IoT Greengrass获取名称以开头的密钥的值greengass-. 有关更多信息,请参阅密钥要求

  7. 本教程不需要轮换,因此,请选择 Disable automation (禁用自动轮换),然后选择下一步.

  8. Review (审核) 页上,审核您的设置,然后选择 Store (存储)

    接下来,在 Greengrass 组中创建一个引用该密钥的密钥资源。

第 2 步:将密钥资源添加到 Greengrass 组

在该步骤中,配置一个引用Secrets Manager 密钥的组资源。

  1. 在Amazon IoT控制台导航窗格,下Manage,展。Greengrass 设备,然后选择。组 (V1).

  2. 选择要将密钥资源添加到的组。

  3. 在组配置页面上,选择资源选项卡,然后向下滚动到Secrets部分。这些区域有:Secrets部分显示属于该组的密钥资源。您可以从本部分添加、编辑和删除密钥资源。

    注意

    或者,控制台允许您在配置连接器或 Lambda 函数时创建密钥和密钥资源。您可通过连接器的配置参数页面或 Lambda 函数的资源页.

  4. 选择AddSecrets部分。

  5. 在存储库的添加密钥资源页面,输入MyTestSecret中的资源名称.

  6. UNDER密钥,选择greengass-TestSecret.

  7. 选择标签(可选)部分, AWSCURRENT 暂存标签表示最新版密钥。该标签始终包含在密钥资源中。

    注意

    本教程要求使用 AWSCURRENT 仅标签。您可以视情况包括 Lambda 函数或连接器所需的标签。

  8. 选择 Add resource (添加资源)

第 3 步:创建 Lambda 函数部署软件包

要创建 Lambda 函数,您必须先创建一个 Lambda 函数部署程序包包含函数代码和依赖项。Greengrass Lambda 函数需要Amazon IoT Greengrass核心开发工具包用于在核心环境中与 MQTT 消息通信和访问本地密钥等任务。本教程将创建一个 Python 函数,因此您在部署包中使用 Python 版本的开发工具包。

注意

要获取本地密钥的值,用户定义的 Lambda 函数必须使用Amazon IoT Greengrass核心 SDK v1.3.0 或更高版本。

  1. Amazon IoT Greengrass核心开发工具包下载页面,下载Amazon IoT Greengrass适用于 Python 的核心 SDK 连接到你的计算机。

  2. 解压缩下载的程序包以获取软件开发工具包。软件开发工具包是 greengrasssdk 文件夹。

  3. 将以下 Python 代码函数保存在名为 secret_test.py 的本地文件中。

    import greengrasssdk

secrets_client = greengrasssdk.client('secretsmanager')
iot_client = greengrasssdk.client('iot-data')
secret_name = 'greengrass-TestSecret'
send_topic = 'secrets/output'


def function_handler(event, context):
    """
    Gets a secret and publishes a message to indicate whether the secret was
    successfully retrieved.
    """
    response = secrets_client.get_secret_value(SecretId=secret_name)
    secret_value = response.get('SecretString')
    message = (f'Failed to retrieve secret {secret_name}.' if secret_value is None else
               f'Successfully retrieved secret {secret_name}.')
    iot_client.publish(topic=send_topic, payload=message)
    print('Published: ' + message)

    这些区域有:get_secret_value函数支持Secrets Manager 密钥的名称或 ARNSecretId值。此示例使用密钥名称。对于此示例密钥,Amazon IoT Greengrass 返回键值对:{"test":"abcdefghi"}

    重要

    确保用户定义的 Lambda 函数可以安全地处理密钥,并且不记录存储在密钥中的任何敏感数据。有关更多信息,请参阅 。降低记录和调试 Lambda 函数的风险中的Amazon Secrets Manager用户指南. 尽管本文档专门提到了轮换函数,但该建议也适用于 Greengrass Lambda 函数。

  4. 将以下项目压缩到名为 secret_test_python.zip 的文件中。在创建 ZIP 文件时,应仅包含代码和依赖项,而不包含文件夹。

    • secret_test.py。应用程序逻辑。

    • greengrasssdk。Python Greengrass Lambda 函数必需的库。

    此即Lambda 部署软件包。

第 4 步:创建 Lambda 函数

在该步骤中,您将使用Amazon Lambda控制台创建 Lambda 函数并将其配置为使用您的部署程序包。接着,发布函数版本并创建别名。

  1. 首先,创建 Lambda 函数。

    1. 在 Amazon Web Services Management Console中,选择 Services (服务),然后打开 Amazon Lambda 控制台。

    2. 选择创建函数然后选择从头开始创作.

    3. Basic information (基本信息) 部分中,使用以下值:

      • 对于 Function name(函数名称),请输入 SecretTest

      • 对于 Runtime (运行时),选择 Python 3.7

      • 适用于Permissions (权限),请保留默认设置。这将创建一个授予基本 Lambda 权限的执行角色。此角色未由使用Amazon IoT Greengrass.

    4. 在页面底部,选择创建函数

  2. 接下来,注册处理程序并上传 Lambda 函数部署软件包。

    1. 在存储库的代码选项卡,位于代码源代码,选择上传. 从下拉列表中,选择.zip 格式文件.

      带有 .zip 文件的上传自下拉列表突出显示。

    2. 选择上传,然后选择secret_test_python.zip部署程序包。然后,选择 Save (保存)

    3. 在存储库的代码函数的选项卡,位于Runtime,选择编辑,然后输入以下值。

      • 对于 Runtime (运行时),选择 Python 3.7

      • 对于 Handler (处理程序),输入 secret_test.function_handler

    4. 选择Save(保存)。

      注意

      这些区域有:测试的按钮Amazon Lambda控制台与该函数一起使用时不起作用。这些区域有:Amazon IoT Greengrass核心开发工具包不包含在Amazon Lambda控制台。这些模块(例如,greengrass_common) 将在函数部署到你的 Greengrass 核心后提供给这些函数。

  3. 现在,发布您的 Lambda 函数的第一个版本并创建一个版本的别名.

    注意

    Greengrass 组可以按别名(推荐)或版本引用 Lambda 函数。使用别名,您可以更轻松地管理代码更新,因为在函数代码更新时您无需更改订阅表或组定义。相反,您只需将别名指向新函数版本。

    1. Actions 菜单上,选择 Publish new version

    2. 对于 Version description (版本描述),输入 First version,然后选择 Publish (发布)

    3. 在存储库的SecretTest:1配置页面,来自操作菜单中,选择。创建别名.

    4. 创建新别名页面上,使用以下值:

      • 对于 Name (名称),请输入 GG_SecretTest

      • 对于 Version (版本),选择 1

      注意

      Amazon IoT Greengrass不支持 Lambda 别名$LATEST版本。

    5. 选择Create(创建)。

现在,您可以将 Lambda 函数添加到 Greengrass 组并附加密钥资源。

第 5 步:将 Lambda 函数添加到 Greengrass 组

在该步骤中,您将将 Lambda 函数添加到 Greengrass 组中的Amazon IoT控制台。

  1. 在组配置页面上,选择Lambda 函数选项卡。

  2. 我的 Lambda 函数部分,选择。Add.

  3. 对于Lambda 函数,选择SecretTest.

  4. 对于Lambda 函数版本中,选择您发布的版本的别名。

接下来,配置 Lambda 函数的生命周期。

  1. Lambda 函数配置部分,进行以下更新。

    注意

    建议在不进行容器化的情况下运行 Lambda 函数,除非您的业务案例需要这样。这有助于在不配置设备资源的情况下访问设备 GPU 和摄像头。如果您在没有容器化的情况下运行,则还必须授予对您的 root 访问权限Amazon IoT GreengrassLambda 函数。

    1. 要在没有容器化的情况下运行:

    2. 改为在容器化模式下运行:

      注意

      建议在容器化模式下运行,除非您的业务案例需要这样。

      • 适用于系统用户和组,选择使用组默认值.

      • 适用于Lambda 函数容器化,选择使用组默认值.

      • 对于 Memory limit (内存限制),输入 1024 MB

      • 对于 Timeout (超时),输入 10 seconds

      • 适用于Pinned,选择True.

        有关更多信息,请参阅 Greengrass Lambda 函数的生命周期配置

      • UNDER其他参数,对于对 /sys 目录的只读访问权限,选择Enabled (已启用).

  2. 选择添加 Lambda 函数.

接下来,将密钥资源与函数关联。

第 6 步:将密钥资源附加到 Lambda 函数

在该步骤中,您将把密钥资源与 Greengrass 组中的 Lambda 函数关联。这会将资源与函数关联,从而允许函数获取本地密钥的值。

  1. 在组配置页面上,选择Lambda 函数选项卡。

  2. 选择SecretTestfunction.

  3. 在函数的详细信息页面上,选择资源.

  4. 滚动到所选内容Secrets部分并选择关联.

  5. 选择MyTestSecret,然后选择。关联.

步骤 7:将订阅添加到 Greengrass 组

在该步骤中,您将订阅允许Amazon IoT和用于交换消息的 Lambda 函数。一个允许 Amazon IoT 调用该函数的订阅,以及一个允许该函数向 Amazon IoT 发送输出数据的订阅。

  1. 在组配置页面上,选择订阅选项卡,然后选择添加订阅.

  2. 创建一个允许 Amazon IoT 向该函数发布消息的订阅:

    在组配置页面上,选择订阅选项卡,然后选择添加订阅.

  3. 在存储库的创建订阅页面上,配置源和目标,如下所示:

    1. In源类型,选择Lambda 函数,然后选择。IoT 云.

    2. InTarget type,选择服务,然后选择。SecretTest.

    3. 主题筛选条件输。secrets/input,然后选择。创建订阅.

  4. 添加另一个订阅。选择订阅选项卡上,选择。添加订阅,然后配置源和目标,如下所示:

    1. In源类型,选择服务,然后选择。SecretTest.

    2. InTarget type,选择Lambda 函数,然后选择。IoT 云.

    3. 主题筛选条件输。secrets/output,然后选择。创建订阅.

步骤 8:部署 Greengrass 组

将组部署到核心设备。在部署期间,Amazon IoT Greengrass从 Secret Manager 提取密钥的值并在核心上创建本地加密副本。

  1. 确保Amazon IoT Greengrass核心正在运行。根据需要在您的 Raspberry Pi 终端中运行以下命令。

    1. 要检查守护程序是否正在运行,请执行以下操作:

      ps aux | grep -E 'greengrass.*daemon'

      如果输出包含 root/greengrass/ggc/packages/ggc-version/bin/daemon 条目,则表示守护程序正在运行。

      注意

      路径中的版本取决于您的核心设备上安装的 Amazon IoT Greengrass 核心软件版本。

    2. 启动守护程序:

      cd /greengrass/ggc/core/
sudo ./greengrassd start

  2. 在组配置页面上,选择部署.

    1. Lambda 函数选项卡,位于系统 Lambda 函数部分,选择IP 探测器然后选择编辑.

    2. 编辑 IP 探测器设置对话框中,选择。自动检测和覆盖 MQTT 代理端点.

    3. 选择Save(保存)。

      这使得设备可以自动获取核心的连接信息,例如 IP 地址、DNS 和端口号。建议使用自动检测,不过 Amazon IoT Greengrass 也支持手动指定的终端节点。只有在首次部署组时,系统才会提示您选择发现方法。

      注意

      如果出现提示,请授予创建Greengrass 服务角色并将其与你的Amazon Web Services 账户在最新的Amazon Web Services 区域. 此角色允。Amazon IoT Greengrass访问您的资源Amazon服务。

      Deployments (部署) 页面显示了部署时间戳、版本 ID 和状态。完成后,部署的状态应显示为已完成.

      有关问题排查帮助,请参阅排除 Amazon IoT Greengrass 的故障

测试 Lambda 函数

  1. 在存储库的Amazon IoT控制台主页,选择测试.

  2. 适用于订阅主题,请使用以下值,然后选择订阅.

    属性

    订阅主题

    密钥/输出

    MQTT 负载显示

    将负载显示为字符串

  3. 适用于向主题发布,请使用以下值,然后选择发布以调用该函数。

    属性

    主题

    密钥/输入

    消息

    保留默认消息。发布消息可调用 Lambda 函数,但本教程中的该函数不处理消息正文。

    如果成功,则该函数会发布“成功”消息。

另请参阅